Два вопроса к тем кто в теме. Тема - вредоносное ПО вымогающие деньги через SMS
- На нынешнем этапе своего развития, это вредоносное ПО поражает систему исключительно из под учетной записи с правами администратора или уже корректно работает под ограниченной учетной записью?
- Наличие этого вредоносного ПО на ПК жертвы говорит о полной безграмотности администратора в плане безопасности?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Ограниченную учётку тоже может заразить. Правда, соседние остануся чистыми.
2. Не уверен, что о такой уж полной. О некоторой расслабленности и беспечности - пожалуй, да.
Про какого троянца вы говорите?Сообщение от pig
Про винлоки вообще. Есть же и такая разновидность среди банды акселераторов?
Если пишется в %windir% разве заинсталится?
Да есть там какой-то, пишется, куда получится.
согласна.. еще это говорит о беспечности пользователей и возможно о слабой работе админа с пользователями, раз его пользователи клацают куда попало
у меня под урезанной учеткой sms-вымогатель нормально не поставился и не заработал.
речь конкретно об этом вирусе
Последний раз редактировалось Юльча; 06.01.2010 в 21:50.
Хочется знать его название (kaspersky), если можно
Ну или по Dr. Web...
Спасибо, на этом ресурсе (pixshock.net) из рекламы стока выцепил блокеров
http://www.virustotal.com/analisis/5...264-1262753894
http://www.virustotal.com/analisis/5...dfb-1262753934
http://www.virustotal.com/analisis/c...f40-1262753951
http://www.virustotal.com/analisis/2...9e3-1262753999
http://www.virustotal.com/analisis/1...773-1262754020
http://www.virustotal.com/analisis/2...778-1262757214
http://www.virustotal.com/analisis/c...e5a-1262757236
http://www.virustotal.com/analisis/2...778-1262757266
Закрывайте от изменений раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run и ему подобные.
ну вот, есть чем потестировать заражение с ограниченной учетки
кстати, я рекламу практически не вижу - банерорезалки хорошо работают
Я однажды подхватил троян Winlock, который записал себя в C:\Documents and Settings\<USER>\Application Data\<пять случайных букв>.exe и HCKU Run под именем "winsock".
Такой наверно запустился бы и под ограниченной записью, но под записью администратора нормальная работа компьютера бы продолжалась.
Добавлено через 49 минут
А я что-то никакой рекламы там не вижу...
Добавлено через 21 минуту
Нашел этот сайт (с вирусом). Там файл "install_flash_player.exe". Ставится в TEMP как "kui1.tmp". Но думаю он прописывается в Userinit (не смотрел, но аналогичные вирусы делали так). Так что под ограниченной учетной записью он скорее всего умрет после перезагрузки.речь конкретно об этом вирусе
Еще в ходе работы вирус запускает "route.exe -f"
Последний раз редактировалось bolshoy kot; 07.01.2010 в 17:57. Причина: Добавлено
sms вымогатель - download master отлично себя чувствует под ограниченной учеткой простого юзера.. причем еще и шифруясь
речь об этом зверьке:
Чтобы блокер установился, ему необходимо прописаться в автозапуск, установить модуль противодействия, заблокировать сис. утилиты типа Диспетчер задач, некоторым установить свой драйвер в систему и т.д.
Ограниченная учетка защищает от изменений, почти все эти пункты, остальные надо закрыть от изменений вручную. Вредонос не сможет сбросить разрешения из огр. учетки, следовательно не сможет прописаться в систему. windir заркыт от изменений, поэтому максимум что сможет сделать вредонос,- прописаться в temp?, оттуда в автозапуск, запретил изменения run пользователя, теперь блокеры не ставятся. При разрешении run блокер установился, но снялся диспетрером задач, была возможность переключения задач Alt+Tab, удалился очисткой временных файлов без проблем, другие учетки не заразились. Вывод ограниченная учетка защищает нормально, а при дополнительной настройке отлично. Не заразился под operoй и moziloй.
Юльча, дайте адрес сайта с этим вирусом.
Поддерживаю. Дайте пожалуйста ссылку для экспериментов.
Юльча
плиз в пм адресок сайта с вирусякой
тоже хочу поиграться на виртуалке
а вирус взят из вашей же информации
нагуглилось достаточно сайтов с подобными вирусами.. играйтесь
тот что на последнем скрине если не ошибаюсь инсталился из Update_Flash-Player-10_build.9102.exe, сайт на котором я его брала - wm-gamer.ru. но он сейчас недоступен..
смотрим ПМ
Добавлено через 6 минут
ах, да, ответный код генерился примерно так.
Последний раз редактировалось Юльча; 08.01.2010 в 15:41. Причина: Добавлено
У меня вопрос по поводу "Update_Flash-Player-10_build.9102.exe"
А при каких условиях появляется окно про SMS? А то я запустил этот файл (на виртуальном ПК), а реакции никакой. Время на 5 часов вперед переводил.
Последний раз редактировалось bolshoy kot; 08.01.2010 в 17:13.
на одной виртуалке вообще не запустился, выдавал ошибку.
поставила с нуля винду, запустила вирь, перезагрузила винду и после запуска пары приложений (ie и avz) вылезло окно-вымогатель
Ваши права в разделе
Ответить с цитированием
